Der Betreff sagt alles:
Warum in aller Welt wird diese Option noch in der Installation angeboten? Wie kann man Passwörter heute denn überhaupt noch unverschlüsselt ablegen?
Ich würde empfehlen, diesen alten Zopf abzuschneiden - das ist echt peinlich (sorry)! ....
Plaintext-Passwort
7 Beiträge
• Seite 1 von 1
Plaintext-Passwort
von Weltfriede » 8. Jan 2012, 22:08
- Weltfriede
- Beiträge: 17
- Registriert: 8. Jan 2012, 21:26
Re: Plaintext-Passwort
von Gregor.Harlan » 8. Jan 2012, 23:32
Hallo Weltfriede,
es wird ja niemand gezwungen, diese Option zu wählen, ich würde es auch nicht empfehlen
Für die neue Version (5.0) wurde dieser Zopf aber bereits abgeschnitten...
Gruß, Gregor
es wird ja niemand gezwungen, diese Option zu wählen, ich würde es auch nicht empfehlen
Für die neue Version (5.0) wurde dieser Zopf aber bereits abgeschnitten...
Gruß, Gregor
-
Gregor.Harlan - Entwickler
- Beiträge: 825
- Registriert: 4. Jun 2007, 09:35
- Wohnort: Dresden
Re: Plaintext-Passwort
von Markus.Staab » 9. Jan 2012, 10:10
Hi Weltfriede,
diese Option ist noch da, da wenn man von alten versionen upgraded und diese noch als Default auf "keine Verschlüsselung" ausgeliefert wurden (lange her aber diese gibt es noch).
Man muss aber auch dazu sagen, dass alleine das verschlüsseln von Passwörtern nur sehr wenig mehr Sicherheit bringt, als ein klartext passwort.
Gruß,
Markus
diese Option ist noch da, da wenn man von alten versionen upgraded und diese noch als Default auf "keine Verschlüsselung" ausgeliefert wurden (lange her aber diese gibt es noch).
Man muss aber auch dazu sagen, dass alleine das verschlüsseln von Passwörtern nur sehr wenig mehr Sicherheit bringt, als ein klartext passwort.
Gruß,
Markus
-
Markus.Staab - Entwickler
- Beiträge: 9781
- Registriert: 29. Jan 2005, 14:50
- Wohnort: Aschaffenburg/Germany
Re: Plaintext-Passwort
von Weltfriede » 9. Jan 2012, 10:16
Hallo,
sehe ich alles ein und gut, dass das mit version 5 nicht mehr dabei sein wird.
An welcher Stelle in der Konfiguration (Master.inc.php?) wird denn die Option gesetzt, ob verschlüsselt ist oder nicht?
Natürlich hängt auch viel von der Qualität des Passworts ab. Trotzdem würde ich diese von Dir gemachte Aussage so erstmal hinterfragen.
sehe ich alles ein und gut, dass das mit version 5 nicht mehr dabei sein wird.
An welcher Stelle in der Konfiguration (Master.inc.php?) wird denn die Option gesetzt, ob verschlüsselt ist oder nicht?
Man muss aber auch dazu sagen, dass alleine das verschlüsseln von Passwörtern nur sehr wenig mehr Sicherheit bringt, als ein klartext passwort.
Natürlich hängt auch viel von der Qualität des Passworts ab. Trotzdem würde ich diese von Dir gemachte Aussage so erstmal hinterfragen.
- Weltfriede
- Beiträge: 17
- Registriert: 8. Jan 2012, 21:26
Re: Plaintext-Passwort
von Markus.Staab » 9. Jan 2012, 12:55
Hi,
Du kannst dein Passwort noch solange wählen oder aus wilden Zeichen zusammensetzen. Das trägt nur unwesentlich zur "Sicherheit" bei.
Entscheidend ist ein sog. SALT, allein gehaste passwörter (md5, sha1) lassen sich zum teil schon alleine nach 3 sekunden googeln "entschlüsseln".
Gruß,
Markus
Weltfriede hat geschrieben:Natürlich hängt auch viel von der Qualität des Passworts ab. Trotzdem würde ich diese von Dir gemachte Aussage so erstmal hinterfragen.
Du kannst dein Passwort noch solange wählen oder aus wilden Zeichen zusammensetzen. Das trägt nur unwesentlich zur "Sicherheit" bei.
Entscheidend ist ein sog. SALT, allein gehaste passwörter (md5, sha1) lassen sich zum teil schon alleine nach 3 sekunden googeln "entschlüsseln".
Gruß,
Markus
-
Markus.Staab - Entwickler
- Beiträge: 9781
- Registriert: 29. Jan 2005, 14:50
- Wohnort: Aschaffenburg/Germany
Re: Plaintext-Passwort
von Weltfriede » 9. Jan 2012, 13:00
Hallo Markus,
Dass es Kollisionen beim MD5-Algorithmus gibt, ist nichts Neues; auch dass MD5-Abbildungen vieler Passwörter im Netz kursieren - alles richtig. Aber...
... genau das halte ich nicht für richtig.
Wie kommst Du zu der Aussage denn? Beziehst Du Dich auf Regenbogen-Tabellen?
Dass es Kollisionen beim MD5-Algorithmus gibt, ist nichts Neues; auch dass MD5-Abbildungen vieler Passwörter im Netz kursieren - alles richtig. Aber...
Du kannst dein Passwort noch solange wählen oder aus wilden Zeichen zusammensetzen. Das trägt nur unwesentlich zur "Sicherheit" bei.
... genau das halte ich nicht für richtig.
Wie kommst Du zu der Aussage denn? Beziehst Du Dich auf Regenbogen-Tabellen?
- Weltfriede
- Beiträge: 17
- Registriert: 8. Jan 2012, 21:26
Re: Plaintext-Passwort
von Markus.Staab » 9. Jan 2012, 13:07
Hi,
Jepp.
Aber bevor diese Grundsatzdiskussion noch weiter ausartet, würde ich dann hier gerne das Thema beenden.
Gruß,
Markus
Weltfriede hat geschrieben:Wie kommst Du zu der Aussage denn? Beziehst Du Dich auf Regenbogen-Tabellen?
Jepp.
Aber bevor diese Grundsatzdiskussion noch weiter ausartet, würde ich dann hier gerne das Thema beenden.
Gruß,
Markus
-
Markus.Staab - Entwickler
- Beiträge: 9781
- Registriert: 29. Jan 2005, 14:50
- Wohnort: Aschaffenburg/Germany
7 Beiträge
• Seite 1 von 1
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste
